Intelligence artificielle
les pirates Ils s'en sont pris aux réseaux sociaux fédérés comme Mastodon pour mener des attaques de spam continues organisées sur Discord et réalisées à l'aide de leurs applications. Mais Discord n'a pas encore supprimé les serveurs fédérés à partir desquels les attaques ont été facilitées, et les dirigeants de la communauté Mastodon n'ont pu contacter personne au sein de l'entreprise.
« Les attaques étaient coordonnées via Discord, et le logiciel était diffusé par ce biais », explique Emelia Smith, ingénieure logiciel chez Fediverse, un réseau de plateformes sociales décentralisées basé sur le protocole ActivityPub, où elle travaille régulièrement sur les questions de confiance et de sécurité. « Les attaquants utilisaient des bots intégrés directement à Discord ; un utilisateur n’avait donc même pas besoin de configurer de serveur : il lui suffisait d’exécuter le bot directement depuis Discord pour mener l’attaque. »
Smith a tenté de contacter Discord via les canaux officiels le 17 février, mais n'a reçu que des réponses sous forme de formulaire. Il a commenté que même si Discord dispose de mécanismes pour signaler des utilisateurs ou des messages individuels, il lui manque un moyen clair de signaler des serveurs entiers.
« Nous avons constaté que cela a coûté des centaines, voire des milliers de dollars à Mastodon, Misskey et d'autres administrateurs de serveurs, en frais d'infrastructure et en pertes de service dues à des attaques par déni de service », a écrit Smith à l'équipe Confiance et Sécurité de Discord dans un courriel. « Le seul point commun semble être ce serveur. »
Dans un communiqué, un porte-parole de Discord a déclaré : « Les conditions d’utilisation de Discord interdisent formellement tout abus de la plateforme, c’est-à-dire toute activité perturbant ou altérant l’expérience des utilisateurs de Discord, notamment le spam ou l’envoi massif de messages ou d’interactions non sollicités. » Bien que Discord affirme surveiller la situation, le serveur responsable des attaques de spam reste actif et en ligne.
Eugen Rochko, fondateur et PDG de Mastodon transmis dans une publication que ces attaques sont plus difficiles à modérer que les précédentes, car elles ciblent délibérément des serveurs plus petits, qui disposent souvent de moins d'outils de modération. Certains de ces serveurs proposent une inscription ouverte, vous permettant de créer rapidement de nouveaux comptes et de publier du spam. Et comme le souligne Smith, ces attaques massives de spam peuvent augmenter les coûts des serveurs, laissant les administrateurs avec des factures inattendues.
Selon tu les informes de Mastodon, cette attaque entièrement automatisée a été provoquée par un conflit entre adolescents sur deux serveurs Discord japonais différents.
« C’est un comportement social étrange, où ces jeunes se comportent comme des brutes dans la cour de récréation », a déclaré Smith. Il pense qu’ils ont commis cette agression simplement pour prouver qu’ils en étaient capables, et non par animosité envers les réseaux sociaux.
« Leurs capacités technologiques dépassent de loin leurs capacités émotionnelles ou psychologiques », a-t-il déclaré.
Kevin Beaumont, un expert en cybersécurité, a posté sur Mastodon que cet incident rappelle une attaque similaire, bien que beaucoup plus importante, de 2016, au cours de laquelle trois étudiants ont créé un botnet pour gagner de l'argent avec Minecraft. Mais ce qu'ils ont construit était si puissant qui a réussi à supprimer de larges pans d’Internet, y compris des sites comme Reddit et Spotify.
« J'ai dû faire une émission de radio sur NPR (National Public Radio) à ce sujet et l'animateur n'arrêtait pas de me demander si c'était Poutine, et j'ai répondu non, ce sont des adolescents. Adolescents avancés persistants », publié Beaumont.
En tant que réseau social décentralisé, l'équipe Mastodon ne peut pas intervenir sur des problèmes de modération sur des serveurs dont elle ne possède pas, ce qui constitue une vulnérabilité pour fediverso. Sur les serveurs activement entretenus et modérés, Mastodon propose des outils pour empêcher l'enregistrement automatisé des comptes, tels que CAPTCHA.
Bien que le modèle open source à but non lucratif de Mastodon donne aux utilisateurs une plus grande propriété sur leurs expériences sur les réseaux sociaux, il limite également la capacité de l'entreprise à embaucher davantage de développeurs. La majeure partie du réseau social est gérée par des bénévoles, comme Smith elle-même.
« J’estime que FeDiverse repose entièrement sur une centaine d’ingénieurs, tout au plus », a-t-il déclaré. « Tous sous-payés ou non rémunérés, ils s’efforcent de créer des logiciels tout en assurant le support d’une base d’utilisateurs actifs mensuels qui se situe entre 1,1 et 7,4 millions. »
